Защита от несанкционированного доступа

[Nks]

Сейчас есть огромные бреши в защите. При обращении к скрипту напрямую можно ворочать им как вздумается при знании кода. В ближайшее время нужно закрыть все дыры согласно http://dev.1c-bitrix.ru/api_help/sale/orders_protocol.php, а именно:

Обмен заказами начинается с того, что 1С посылает http-запрос вместе с http-авторизацией следующего вида: http://<сайт>/bitrix/admin/1c_exchange.php?type=sale&mode=checkauth А все последующие запросы к 1С-Битрикс сопровождаются выставлением со стороны 1С имени и значения Cookie, полученными по команде "checkauth".

Так же необходимо вынести проверку на разрешенные IP адреса в отдельную функцию (так же как и проверку логин/пароль) и проверять при каждом обращении к скрипту извне.

[hunternsk]

Есть ли прогресс, или можно самому уже делать ? :)

[Nks]

@hunternsk если есть время и желание - можешь сделать. У меня время появится только после нового года.

[hunternsk]

@Nks займусь

[hunternsk]

@Nks

так же как и проверку логин/пароль) и проверять при каждом обращении... это же не соответствует документу, ко всему, кроме mode=checkauth просто нужна валидная кука